一种加权量化的态势感知方法和系统与流程

本申请涉及网络安全技术领域，尤其涉及一种加权量化的态势感知方法和系统。

背景技术：

现有的态势感知技术采用简单的态势理解，就可以得出关于整个系统的安全态势评估结果，无法定量地给出态势评估的报告，更无法基于态势评估的结果进行安全态势的预测，其利用价值非常有限。

加权量化的态势评估不仅在算法上充分评估整个系统以及每一个单个设备，而且可以基于给出的态势值，将其与每一个设备、每一个分层建立关联，对于高频项目组要素加权处理，从而可以对未来的系统进行科学地预测，为用户提供有价值的参考建议。这是本发明要解决的技术问题。

技术实现要素：

本发明的目的在于提供一种加权量化的态势感知方法和系统，采集不同信息来源的数据，通过预处理得到统一格式的数据流，从该数据流中提取高频项目组要素，生成高频关联规则，送入态势评估进行评估量化，通过与不同评估体系的融合，以及模糊处理数据要素，得到单个设备、局部网络的态势值，结合整个网络的架构组成，得到整个系统的态势值，将不同层次的态势值导入神经网络模型进行预测，最后可视化展示预测结果。

第一方面，本申请提供一种加权量化的态势感知方法，所述方法包括：

采集不同来源的传感器、信息平台、探测设备的运行状态数据；

接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

根据所述频繁模式树状结构，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示。

结合第一方面，在第一方面第一种可能的实现方式中，所述从合并后的数据流提取要素，包括：根据以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

结合第一方面，在第一方面第二种可能的实现方式中，所述清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

结合第一方面，在第一方面第三种可能的实现方式中，所述模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

第二方面，本申请提供一种加权量化的态势感知系统，所述系统包括：

采集单元，用于采集不同来源的传感器、信息平台、探测设备的运行状态数据；

预处理单元，用于接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

态势理解单元，用于从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

态势评估单元，用于根据所述频繁模式树状结构，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

态势预测单元，用于分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测；

态势展示单元，用于将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示。

结合第二方面，在第二方面第一种可能的实现方式中，所述态势理解单元从合并后的数据流提取要素，包括：根据以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

结合第二方面，在第二方面第二种可能的实现方式中，所述预处理单元清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

结合第二方面，在第二方面第三种可能的实现方式中，所述态势评估单元模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

本发明提供一种加权量化的态势感知方法和系统，采集不同信息来源的数据，通过预处理得到统一格式的数据流，从该数据流中提取高频项目组要素，生成高频关联规则，送入态势评估进行评估量化，通过与不同评估体系的融合，以及模糊处理数据要素，得到单个设备、局部网络的态势值，结合整个网络的架构组成，得到整个系统的态势值，将不同层次的态势值导入神经网络模型进行预测，最后可视化展示预测结果，充分评估整个系统以及每一个单个设备，将每一个设备、每一个分层建立关联，从而可以对未来的系统进行科学地预测，为用户提供有价值的参考建议。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明加权量化的态势感知方法的流程图；

图2为本发明加权量化的态势感知系统的架构图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的加权量化的态势感知方法的流程图，所述方法包括：

采集不同来源的传感器、信息平台、探测设备的运行状态数据；

接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

根据所述频繁模式树状结构，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示。

在一些优选实施例中，所述从合并后的数据流提取要素，包括：根据以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

在一些优选实施例中，所述清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

在一些优选实施例中，所述模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

图2为本申请提供的加权量化的态势感知系统的架构图，所述系统包括：

采集单元，用于采集不同来源的传感器、信息平台、探测设备的运行状态数据；

预处理单元，用于接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

态势理解单元，用于从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

态势评估单元，用于根据所述频繁模式树状结构，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

态势预测单元，用于分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测；

态势展示单元，用于将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示。

在一些优选实施例中，所述态势理解单元从合并后的数据流提取要素，包括：根据以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

在一些优选实施例中，所述预处理单元清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

在一些优选实施例中，所述态势评估单元模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。